텔레그램·애플·라인·쿠팡 사칭 스미싱 유포 증가
계정정보 빼간 뒤 2차 악용…스미싱 재유포·금전 피해
문자 내 URL 클릭 신중해야…악성앱 감염 시 주위에 알려 2차 피해 방지
[서울=뉴시스]송혜리 기자 = #[국제발신]공식 계정에서 장기간 인증되지 않은 계정으로 탐지되었습니다. 휴면계정으로 전환될 예정이오니 이용에 차질이 없도록 12시간 이내에 재인증을 해주시기 바랍니다.
#[국제발신]텔레그램 계정이 휴면상태 입니다. 휴면을 방지 하려면 12시간 이내에 URL을 확인하십시오
텔레그램, 라인 등 모바일메신저와 애플, 가상자산 거래소 이용자를 대상으로 한 문자피싱(스미싱) 공격이 증가하고 있어 각별한 주의가 요구된다. 해당 스미싱 공격은 이용자 계정정보 탈취가 목적으로 이를 통해 스미싱 재유포, 무단 인앱결제, 가상자산 탈취 등 피해가 발생할 수 있다.
◆계정정보 탈취가 목적…허위 매물을 등록해 제3자 피해도 초래
한국인터넷진흥원(KISA)은 최근 소셜네트워크(SNS), 소셜커머스 계정정보 탈취를 목적으로 한 스미싱 유포가 점차 증가하고 있다고 밝혔다.
KISA에 따르면 이번 스미싱 공격은 문자메세지에 포함된 인터넷주소(URL)를 클릭해 아이디, 전화번호, 비밀번호 등의 계정 정보를 입력하도록 유도한다. 심지어 일부는 2차 인증 절차까지 요구해 계정 정보를 완전히 탈취하는 수법을 사용한다.
탈취된 계정 정보는 다양한 방법으로 악용된다. 예를 들어, 텔레그램과 같은 SNS 계정은 저장된 연락처와 불특정 다수에게 스팸메시지 또는 스미싱 재유포에 활용된다. 애플 계정 등 멀티 디바이스 계정의 경우 저장된 결제 정보를 악용해 무단 인앱 결제를 통해 금전 피해를 입힐 수 있다.
가상자산 거래소의 계정은 탈취된 지갑 정보나 코인을 빼돌리기 위해 사용되며, 소셜커머스 플랫폼 계정은 허위 매물을 등록해 대금을 갈취하는 방식으로 제3자 피해를 초래한다. 이외에 탈취된 계정 정보는 다른 온라인 서비스에도 적용돼 금전 탈취 등의 2차 피해를 유발할 수 있다.
KISA 관계자는 "SNS·소셜커머스 등 계정정보 탈취 스미싱이 추석 연휴 시작 시점부터 점차 늘다가 지난 18일 대폭 증가한 것으로 파악됐다"면서 "정확한 이유는 파악 중"이라고 말했다.
이어 "이러한 계정탈취 목적의 스미싱은 기존에도 있었으나, 이번엔 텔레그램, 라인 뿐만 아니라 쇼핑몰, 가상자산 거래소 등 사칭 대상이 확대됐고 또 수신자가 당황하기 쉬운 '계정이 탈취됐다'는 내용을 담고 있어 국민들이 각별히 주의를 할 필요가 있다"고 설명했다.
한편 KISA '휴대전화 스팸 신고 및 탐지 건수 현황'에 따르면 올해 1월부터 8월까지 휴대전화 스팸건수는 총 2억8041만건(신고 2억8002만건, 탐지 38만9336건)에 달하는 것으로 나타났다. 전년 동기 대비 68% 급증한 수치다.
◆문자로 온 URL 클릭 시엔 신중히…번호 도용 방지 위해 '번호도용 문자 차단 서비스' 신청
스미싱 공격에 따른 피해를 입지 않기 위해서는 출처가 불분명한 URL은 클릭을 자제하고 바로 삭제해야 한다는 것을 반드시 기억해야 한다. 클릭이 불가피하다면 정상 사이트와 일치여부를 확인하는 과정이 필요하다.
또 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고 인증번호의 경우 모바일 결제로 연계될 수 있으므로 한 번 더 확인해야 한다.
문자메시지에 포함된 URL을 클릭한 것만으로는 악성 앱에 감염되지 않으나 이를 통해 애플리케이션을 설치했다면, 모바일 백신으로 앱을 삭제하거나 수동으로 제거해야 한다.
악성앱 감염·피싱 사이트를 통한 정보 유출이 의심되는 경우엔 이동통신사별 부가서비스 항목에서 무료로 신청가능한 '번호도용 문자 차단 서비스'를 신청해 번호가 도용되지 않도록 차단할 수 있다.
동시에 스마트폰에 설치된 악성앱이 주소록을 조회해 다른 사람에게 유사한 내용의 스미싱을 발송하는 등 2차 피해가 발생할 수 있으므로 주변 지인에게 스미싱 피해 사실을 알려야 한다.
악성 앱에 감염됐던 스마트폰으로 금융서비스를 이용했다면 공인인증서, 보안카드 등금융거래에 필요한 정보가 유출될 가능성이 있으므로 해당 정보를 폐기하고 재발급받는 것이 좋다.
아울러 스미싱 악성앱 감염·피싱사이트 개인 정보 입력 시, 모바일 결제 피해가 발생할 수 있으므로 모바일 결제 내역을 확인할 필요도 있다.
만약 스미싱으로 인해 모바일 결제가 이뤄진 경우, 통신사 고객센터를 통해 결제 내역을 확인하고 스미싱 피해 신고를 한 뒤 소액결제확인서를 발급받도록 한다.
이후 스미싱 문자 캡처본과 소액결제확인서를 지참해 경찰서 사이버수사대 또는 민원실을 방문해 신고해야 한다. 경찰서에서 사고 내역을 확인받고, 사건사고 사실 확인서를 발급받아 통신사나 결제 대행 업체에 제출해 피해 보상을 요구할 수 있다.
◎공감언론 뉴시스 chewoo@newsis.com